Entry № 847
OCTAVE 方法
OCTAVE 方法 是什么?
OCTAVE 方法由卡内基梅隆大学 SEI 提出的信息安全风险评估方法,聚焦关键资产层面的组织与运营风险。
OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)是卡内基梅隆大学软件工程研究所(CERT)开发的风险评估方法家族,包括面向大型组织的原版 OCTAVE、面向小型组织的 OCTAVE-S,以及聚焦信息资产的现代简化版 OCTAVE Allegro。OCTAVE 以资产为核心:组织通过自主主导的工作坊识别关键信息资产、威胁场景、关注领域以及保护策略。相较于高度量化的框架,OCTAVE 偏向定性,强调业务上下文、责任归属与组织风险容忍度,在受监管行业中常与 NIST SP 800-30、ISO 27005 配合使用。
● 示例
- 01
医院针对电子病历系统开展 OCTAVE Allegro 工作坊,以制定风险处置计划。
- 02
对一家安全人手有限的小型制造商使用 OCTAVE-S 进行风险评估。
● 常见问题
OCTAVE 方法 是什么?
由卡内基梅隆大学 SEI 提出的信息安全风险评估方法,聚焦关键资产层面的组织与运营风险。 它属于网络安全的 合规与框架 分类。
OCTAVE 方法 是什么意思?
由卡内基梅隆大学 SEI 提出的信息安全风险评估方法,聚焦关键资产层面的组织与运营风险。
如何防御 OCTAVE 方法?
针对 OCTAVE 方法 的防御通常结合技术控制与运营实践,详见上方完整定义。
OCTAVE 方法 还有哪些其他名称?
常见的别称包括: OCTAVE, OCTAVE Allegro。